Google Project Zero は、Samsung の Exynos チップの一連の危険なセキュリティ上の欠陥を浮き彫りにしました, ユーザーの操作なしで悪用できる, 脅威アクターにデバイスの完全な制御を許可します, Android スマートフォンからウェアラブル、車両に至るまで.
18 Exynos W920 チップセットと Exynos Auto T5123 チップセットのゼロデイ
The 18 ゼロデイ脆弱性には、Exynos W920 チップセットと Exynos Auto T5123 チップセットが含まれます. の 18 欠陥, 4 つを使用して、インターネットからベースバンドへのリモート コード実行を有効にすることができます, 最近Google Project Zeroによって報告されたように 2022 と早い 2023. ティム・ウィリスによると, Google Project Zero の責任者, これら 4 つの脆弱性により、攻撃者は被害者の電話番号を知るだけで、ベースバンド レベルで電話にリモート アクセスできます。.
CVE-2023-24033
これらの, 最も深刻な4つ (CVE-2023-24033 および CVE-ID が割り当てられていない他の 3 件) 有効 リモートコード実行 インターネットからベースバンドへ. National Vulnerability Database の CVE-2023-24033 の説明によると、, セッション記述プロトコル (SDP) モジュールのフォーマット タイプは、Samsung Exynos モデムによって適切にチェックされません。 5123, Exynos モデム 5300, Exynos 980, Exynos 1080, および Exynos Auto T512 ベースバンド モデム チップセット, サービス拒否の可能性をもたらす.
によるテスト プロジェクトゼロ これらにより、攻撃者がベースバンドで電話をリモートで侵害できる可能性があることが確認されました, 被害者の電話番号のみを要求する. 熟練した攻撃者は、追加の研究と開発を最小限に抑えて、密かにリモートで攻撃を行うエクスプロイトを作成する可能性があります。. 残りの 14 の脆弱性 (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 および CVE-ID が割り当てられていない他の 9 件) それほど深刻ではありませんでした, 悪意のあるモバイル ネットワーク オペレーターまたはデバイスへのローカル アクセスを持つ攻撃者のいずれかを必要としたためです。.
ピクセルのユーザー 6 と 7 携帯電話はすでに3月に修正を受けています 2023 セキュリティアップデート. でも, 他のデバイスがいつパッチを受け取るかは、メーカーのスケジュール次第です. 欠陥にさらされるリスクを軽減するため, ユーザーは Wi-Fi 通話と Voice over LTE をオフにすることをお勧めします (VoLTE) デバイス設定で.
ゼロデイとは?
A “ゼロデイ脆弱性” 一般に知られていないソフトウェアまたはハードウェアのセキュリティ上の欠陥であり、ソフトウェア/ハードウェアの開発者によってまだ対処されていない. これは、誰かが気付く前に脆弱性が悪用される可能性があることを意味します。, 「ゼロデイ」エクスプロイトにする. エクスプロイトは、検出される前にさまざまな問題を引き起こす可能性があります, 特に危険にする.